Page d'accueil Proton VPN

TunnelVision et Proton VPN

Lecture
5 minutes
Catégorie
Applications Proton VPN

TunnelVision est une vulnérabilité présente dans tous les principaux systèmes d’exploitation qui peut forcer les applications de réseau privé virtuel (VPN) à router le trafic en dehors du tunnel VPN. Cela pourrait permettre à un attaquant d’espionner votre historique de navigation ou même d’injecter du code malveillant dans votre trafic internet.

La vulnérabilité a été découverte par des chercheurs en sécurité qui l’ont annoncée(nouvelle fenêtre) en mai 2024, et il n’existe aucun cas connu de pirates informatiques l’ayant utilisée. Cependant, cette vulnérabilité pourrait exister depuis 2002.

Proton VPN est globalement résistant à TunnelVision si vous utilisez Android, Windows ou si vous activez la fonctionnalité d’arrêt d’urgence (kill switch) sur les appareils Apple. L’exception est notre application Linux, mais il existe tout de même des moyens d’atténuer le risque. Bien qu’il soit peu probable que la plupart des gens soient confrontés à cette attaque, il est important d’être conscient des risques et de savoir comment rester en sécurité tout en utilisant Proton VPN.

Les applications Proton VPN sont-elles vulnérables à TunnelVision ?

De nombreux VPN sont vulnérables à TunnelVision car l’attaque cible un protocole couramment utilisé.

Mais cette attaque n’est pas facile à réaliser : pour exploiter la vulnérabilité TunnelVision, un attaquant doit d’abord prendre le contrôle du réseau local (LAN) auquel votre appareil est connecté. C’est-à-dire que le routeur auquel vous vous connectez via le wifi ou un câble Ethernet doit être compromis (les connexions mobiles cellulaires ne sont pas affectées par TunnelVision).

Cela signifie qu’il est très peu probable que cela pose problème pour les appareils connectés à un réseau domestique ou de bureau. Le véritable danger réside dans la connexion à des réseaux tels que des points d’accès wifi publics, qui pourraient être contrôlés par n’importe qui.

Après des tests approfondis sur les applications Proton VPN, nous pouvons confirmer :

Android

Notre application Android n’est pas du tout affectée par ce problème, car elle ne prend pas en charge l’option 121 (voir ci-dessous). Android est également très résistant aux attaques similaires, grâce à la manière dont il divise les connexions en plusieurs “zones”, chacune utilisant une table de routage différente.

Windows

Le système d’exploitation (OS) Windows est vulnérable à TunnelVision, mais les règles de pare-feu que nous avons implémentées dans notre application Windows pour garantir que les données ne peuvent être acheminées que par le tunnel VPN signifient que notre application Windows n’est pas vulnérable à TunnelVision.

Les tentatives d’exploitation de routes vulnérables à TunnelVision peuvent empêcher une application de se connecter à des sites internet qui pourraient autrement être exploités, mais vos données ne sont à aucun moment en danger.

macOS, iOS et iPadOS

Les appareils Apple eux-mêmes sont vulnérables à TunnelVision, mais nos applications macOS, iOS et iPadOS ne sont pas vulnérables lorsque vous activez l’arrêt d’urgence (kill switch). En effet, les règles de pare-feu et les autres précautions utilisées par l’arrêt d’urgence (kill switch) pour empêcher les connexions en dehors du tunnel VPN sécurisent également votre appareil contre les failles TunnelVision.

Linux

Notre implémentation du protocole WireGuard® sur notre application Linux a été conçue pour répondre à ce problème. Lorsque vous utilisez WireGuard, notre application Linux n’est pas vulnérable à TunnelVision.

Comment fonctionne TunnelVision ?

Les adresses IP sur un réseau local sont attribuées par le routeur à l’aide du Dynamic Host Configuration Protocol (DHCP)(nouvelle fenêtre). Les applications VPN sont conçues pour garantir que tout le trafic internet est acheminé via une adresse IP locale qui le canalise vers le tunnel VPN chiffré.

Un paramètre connu sous le nom d’option 121(nouvelle fenêtre) permet au routeur de contourner ces configurations et d’acheminer le trafic en dehors du tunnel VPN vers le routeur lui-même. Pour que l’attaque fonctionne, l’attaquant doit donc contrôler le routeur.

Foire aux questions

Mon appareil est-il vulnérable à TunnelVision ?

Si vous utilisez Proton VPN pour :

  • Android : Non
  • Windows : Non
  • macOS : Non, si vous activez l’arrêt d’urgence (kill switch)
  • iOS et iPadOS : Non, si vous activez l’arrêt d’urgence (kill switch)
  • Linux : Oui. Mais seulement si vous êtes connecté à un routeur contrôlé par un attaquant malveillant

Mon appareil est-il vulnérable sur mon réseau domestique ou de bureau ?

Presque certainement pas. Le réseau local devrait être compromis par un attaquant malveillant, ce qui est très peu probable. Les réseaux wifi publics peuvent toutefois être peu sûrs.

Mon appareil mobile est-il vulnérable ?

Les appareils utilisant des connexions mobiles (cellulaires) ne sont pas vulnérables aux attaques TunnelVision. Les iPhones et les iPads peuvent être vulnérables s’ils sont connectés à un réseau local (par exemple, par wifi ou câble Ethernet), mais ce risque peut être atténué en activant l’arrêt d’urgence (kill switch).

Pourquoi certains appareils sont-ils plus vulnérables que d’autres ?

La manière dont les paquets de données sont acheminés dépend de votre système d’exploitation, et non de l’application VPN. C’est donc l’OS qui détermine la vulnérabilité d’une plateforme à la faille TunnelVision. Les applications VPN peuvent atténuer le problème, mais en fin de compte, tout dépend de la conception de chaque OS.